MeltdownおよびSpectre攻撃の回避策とともにリリースされたFirefox57.0.4

Mozillaは本日、Firefoxブラウザの新しいバージョンをリリースしました。 IntelCPUで最近発見された深刻なセキュリティ問題に対する追加の保護を提供します。 更新されたリリースには、MeltdownおよびSpectreの脆弱性に対する回避策があります。

MeltdownとSpectreの脆弱性に気付いていない場合は、次の2つの記事で詳しく説明しています。

• MicrosoftはMeltdownとSpectreのCPUの欠陥に対する緊急修正を展開しています
• MeltdownおよびSpectreのCPUの欠陥に対するWindows7および8.1の修正は次のとおりです。

つまり、MeltdownとSpectreの両方の脆弱性により、プロセスは、仮想マシンの外部からでも、他のプロセスのプライベートデータを読み取ることができます。 これは、CPUがデータをプリフェッチする方法をIntelが実装しているために可能です。 これは、OSにパッチを適用するだけでは修正できません。 この修正には、OSカーネルの更新、CPUマイクロコードの更新、場合によっては一部のデバイスのUEFI / BIOS /ファームウェアの更新が含まれ、エクスプロイトを完全に軽減します。

ブラウザを使用したJavaScriptでも攻撃を実行できます。 攻撃ベクトルを最小限に抑えるために、Mozillaは問題を軽減するFirefoxブラウザのアップデートをリリースしました。

公式発表によると、どちらの攻撃も正確なタイミングに依存しているため、Firefoxでいくつかのタイムソースの精度を無効にするか下げると役立ちます。

NS 発表 言う：

このクラスの攻撃の全範囲はまだ調査中であり、セキュリティ研究者や他のブラウザベンダーと協力して、脅威と修正を完全に理解しています。 この新しいクラスの攻撃には正確な時間間隔の測定が含まれるため、部分的で短期的な緩和策として、Firefoxのいくつかのタイムソースの精度を無効化または低下させています。 これには、performance.now（）などの明示的なソースと、高解像度タイマーの構築を可能にする暗黙的なソース、つまりSharedArrayBufferの両方が含まれます。

具体的には、Firefox 57以降のすべてのリリースチャネルで、次のようになります。

performance.now（）の解像度は20µsに減少します。
SharedArrayBuffer機能はデフォルトで無効になっています。

Firefoxブラウザの更新バージョンは現在 ダウンロード可能 サポートされているすべてのオペレーティングシステムおよびWindowsの自動更新システムを介して。 Firefoxユーザーの場合は、アプリの最新バージョンがインストールされていること、またはMozilla Maintenance Serviceがインストールされて実行されていることを確認してください。これにより、アプリが自動的に更新されます。

Microsoft Edge、Internet Explorer、 グーグルクローム この脆弱性を修正するために最近更新されました。